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摘 要 : 针对 用 户 位 置 隐私 保护 过 程 中 攻击 者 利用 背景 知识 等 信息 发 起 攻击 的 问题 ， 提 出 一 种 面向 移动 终端 的 位 置 
隐私 保护 方法 。 该 方案 通过 利用 矿 匿 名 和 本 地 差分 隐私 技术 进行 用 户 位 置 保护 ， 保证 隐私 和 效用 的 权衡 。 结合 背景 
知识 构造 匿名 集 ， 通 过 改进 的 Hilbert 曲线 对 到 匿名 集 进行 分 割 ， 使 用 本 地 差分 隐私 算法 RAPPOR 扰动 划分 后 的 位 
置 集 ， 最 后 将 生成 的 位 置 集 发 送 给 位 置 服务 提供 商 获取 服务 。 在 真实 数据 集 上 与 已 有 的 方案 从 用 户 位 置 保护 、 位 置 
可 用 性 和 时 间 开 销 方面 进行 对 比 ， 实 验 结 果 显 示 ， 所 提 方 案 在 确保 LBS 服务 质量 的 同时 ， 也 增强 了 位 置 隐私 保 
护 的 程度 。 
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Location privacy protection through local differential privacy under k-anonymity 
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Abstract: Aiming at the problem that attackers use background knowledge and other information to launch attacks in the 
process of protecting user location privacy, this paper proposes a location privacy protection method for mobile terminals. 
This solution uses k-anonymity and local differential privacy technology to protect the user's location to ensure the trade-off 
between privacy and utility. This scheme combines background knowledge to construct anonymity sets, uses the improved 
Hilbert curve to segment the k anonymous set, uses local differential privacy algorithm RAPPOR to perturb the divided 
location sets, and finally sends the generated location sets to location service providers to obtain services. Comparing this 
scheme with existing real data set schemes in terms of user location protection, location availability and time overhead, the 
experimental results show that the proposed scheme not only ensures the quality of LBS service, but also enhances the degree 
of location privacy protection. 
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0 引言 条 低 了 资源 开销 ， 提 高 了 资源 利用 率 。 叶 阿 勇 等 人 [通过 考 
m 虑 服务 相似 性 生成 匿名 区 ， 提 升 了 服务 质量 ， 但 他 们 都 没有 
互联 网 技术 、 卫 星 定位 技术 和 移动 设备 高 速 发 展 ， 基 于 考虑 背景 知识 对 隐私 保护 的 影响 。Yin 等 人 外 将 大 匿名 方法 

也 理 位 置 的 服务 (location-based service ,LBS) 受 到 广泛 应 用 02。 与 假名 方法 相 结合 ， 通 过 磊 的 最 大 值 和 最 小 值 选择 相应 的 匿 
名 

信 


Le cw ME 的 同时 ，LBS 服务 所 带 来 的 方法 , 改进 了 大 匿名 位 置 保护 方法 。Jin 等 人 HM 设计 了 一 种 
用 户 位 置 隐私 泄露 问题 也 造成 了 极 大 的 困扰 。 亚 意 位 置 服务 F p 隐藏 机 制 ， 通 过 在 匿名 区 域 中 添加 k-1 个 可 
是 供 商 (location service provider,LSP) 通 过 用 户 位 置 获取 用 户 ， 保 证 每 个 用 户 都 能 达到 其 所 需 的 匿名 级 别 ， 但 该 机 
的 敏感 信息 ， 严 重 侵 害 了 用 户 的 隐私 。 因 此 ， 位 置 隐私 保护 制 需 要 依赖 集中 式 匿名 服务 器 。Ling 等 人 0 为 解决 不 可 信 匿 
是 用 户 隐 私 保 护 研 究 中 的 热点 问题 DB。 名 服务 器 的 问题 ， 构 造 了 一 种 基于 偏 移 网 格 的 分 布 式 位 置 隐 
在 位 置 隐 私 保 护 研究 中 , 基于 匿名 的 K- 匿 名 技术 被 广泛 私 保护 机 制 。 通 过 历史 查询 概率 将 位 置 区 域 划分 为 位 置 网 格 ， 
应 用 , 该 技术 最 早 由 Sweeney" je tH, 其 核心 思想 为 使 用 属性 ”选择 -1 个 网 格 坐 标 构成 匿名 集 ， 使 得 不 可 信和 匿名 服务 器 难 
泛 化 使 单个 数据 与 其 他 k-1 个 数据 无 法 区 分 。Gruteser M 等 以 J RKE. Zhang 等 人 02 结 合 万 匿名 思想 ， 利 
人 后首 次 将 大 匿名 技术 作为 位 置 隐 私 保 护 手段 ， 通 过 四 又 树 ”不 规则 多 边 形 生成 算法 ， 生 成 多 边 形 匿名 区 域 。 通 过 设置 
搜索 构造 大 匿 名 位 置 模型 ， 保 证 匿名 区 域 不 小 于 一 定 值 。 但 度 参 数 实现 空间 匿名 性 ， 构 造 虚 拟 位 置 。 关 光辉 等 人 (3] 通 过 
该 方法 增加 了 时 间 开 销 ， 容 易 造 成 匿名 位 置 过 剩 ， 且 匿名 的 服务 相似 性 构造 相似 地 图 ， 从 相似 地 图 中 选取 与 用 户 真 实 
k 值 是 一 样 的 ， 无 法 满足 用 户 的 个 性 化 选择 。 为 解决 生成 匿 置 查询 结果 相似 的 兴趣 点 ， 并 结合 背景 知识 生成 炉 最 大 的 匿 
名 位 置 过 剩 问 题 ，Kido 等 人 [使 用 随机 策略 生成 大 匿名 集 ， 名 集 ， 随 机 选取 匿名 集中 的 一 个 位 置 来 完成 查询 服务 ， 在 保 
条 低 了 通信 成 本 ， 但 其 没有 考虑 一 些 不 合理 的 虚假 位 置 ， 降 ”证 用 户 隐私 安全 的 同时 尽 可 能 提高 服务 质量 。 杨 洋 等 人 04 设 
氏 了 安全 性 和 服务 质量 。Zhu 等 人 中 在 Kido 的 基础 上 添加 位 。 计 了 一 种 基于 历史 查询 概率 的 天 匿名 集 选 取 算法 ， 从 地 理 
缓存 机 制 ， 设 计 了 MobileCache 系统 ， 通 过 减少 查询 次 数 ” 布 和 零 查 询 两 个 方面 提升 了 位 置 隐私 的 安全 性 ， 但 其 在 构建 
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匿名 集 时 需要 进行 离散 处 理 ， 


刘 振 胸 ， 等 : 


增加 了 匿名 集 的 生成 时 间 。 


差分 隐私 (differential privacy, DP) 最早 由 Dwork05 于 
2006 年 提出 ， 通 过 严谨 的 数学 证 明 ， 可 以 保证 用 户 隐 私 不 受 


攻击 者 所 知 的 背景 知识 攻击 以 及 某 个 数据 变化 的 影响 。 袁 健 
等 人 09 设 计 了 一 种 拉 普 拉 斯 机 制 和 匿名 组 相 结合 的 LBS 轨 
迹 保护 算法 , 对 LBS 用 户 的 真实 位 置 进行 多 轮 加 噪 生成 匿名 
组 ,， 用 匿名 组 来 获取 LBS 服务 , 解决 了 差分 隐私 实现 轨迹 隐 
私 保 护 时 产生 的 隐私 预算 过 度 依赖 问题 ， 增 强 了 轨迹 隐私 保 
护 效果 。Wang Jie 等 人 0 提出 了 一 种 基于 差分 隐私 扰动 的 位 
保护 方法 ， 利 用 Hilbert 曲线 将 位 置 映射 到 一 维 空间 中 , 38 
过 Laplace 噪声 对 位 置信 息 进行 扰动 ， 将 扰动 后 的 位 置信 息 
发 送 给 服务 商 来 实现 位 置 保护 。Zhang 5 USER HAE T- EA- 
最 小 距离 的 多 中 心 聚 类 算法 , 生成 多 组 候选 虚拟 对 象 , 选择 最 
优 虚 拟 候 选集 实现 大 匿名 。Zhang 等 人 (9 提出 了 基于 差分 隐 
私 的 位 置 隐私 保护 方案 ， 该 方案 包括 均值 算法 和 匿名 算法 ， 
通过 LapLace 机 制 保护 用 户 的 位 置 隐私 ， 利 用 指数 机 制 保护 
用 户 的 查询 隐私 。 
通过 差分 隐私 保护 敏感 信息 需要 依赖 可 信 第 三 方 (fully- 
trusted third party ,TTP) 数 据 收集 器 ， 但 在 真实 环境 中 第 三 方 
的 安全 性 往往 不 能 得 到 保证 。 因 此 ， 有 学 者 提出 了 本 地 差分 
隐私 (local differential privacy ,LDP) 概 念 023， 用 户 可 以 在 本 
地 对 敏感 数据 进行 处 理 , 从 而 避免 不 可 信 第 三 方 的 泄露 问题 
Wang 等 人 P3] 提 出 了 一 种 基于 LDP 的 位 置 连续 上 传 保护 方案 ， 
使 用 Hilbert 曲线 根据 区 域内 用 户 位 置 数量 动态 划分 子 区域 ， 
通过 本 地 差分 隐私 对 位 置 进行 扰动 ， 将 扰动 后 的 位 置 上 传 型 
服务 器 ， 但 其 数据 可 用 性 降低 。Wang $5 AC^H EE 5; 2 IRL HÀ 
当前 位 置 的 个 人 隐私 需求 ， 选 择 两 种 不 同 的 本 地 差分 隐私 志 
动 方法 ，RAPPOR 和 k-RR。 对 参与 者 的 位 置 进行 区 域 分 割 |， 
用 选择 的 扰动 方法 对 位 置 区 域 进 行 扰动 ， 将 扰动 后 的 位 置 发 
送 到 数据 收集 服务 器 用 于 数据 分 析 。 

针对 上 述 方法 中 的 问题 ， 本 文 结合 大 匿名 和 本 地 差分 隐 
私 技 术 , 提出 一 种 无 须 TTP 且 能 够 抵御 背景 知识 攻击 的 本 地 
差分 隐私 扰动 方案 ， 在 保证 性 能 的 同时 降低 了 攻击 者 获取 用 
户 信息 的 概率 ， 进 一 步 提高 了 用 户 位 置 隐私 安全 性 。 


1 ”相关 概念 
1.1 背景 知识 


背景 知识 指 用 户 在 特定 位 置 发 送 位 置 服务 请 求 的 概率 。 
由 于 实际 生活 中 , 人 们 在 不 同位 置 获 取 LBS 服务 的 概率 是 不 


St MH 


K 匿名 下 通过 本 地 差分 隐私 实现 位 置 隐私 保护 


越 大 ， 位 置 集 越 无 序 ， 


最 大 ， 此 时 ws(r,Z)= 
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公式 如 下 : 


G3) 
H 


隐私 保护 程度 就 越 高 。 
dis(n,Z) - VG =x} +O, - X2 


式 (3) 可 知 ， 当 所 有 gi 都 为 相等 的 概率 值 时 ,位 


(x, — Xz) cQ, =z)? o 


1.3 Hilbert 曲线 


Hilbert 曲线 用 作 将 s 维 空间 Rs 映射 到 一 维 室 间 R, 表示 


为 瓦 : Rs->R。 如 果 点 PERs， 然 后 Hp)ER; 也 就 是 说 ，H(p) 


是 p 对 应 的 五 值 。 对 于 点 集 {p1, p» ccs Pr Hipi p» c» 
pn}={H(D1)，H(p?)，…，H(pn)}。Hilbert 曲线 的 编码 规则 如 
1 所 示 。 
1 22125 26137 |  38|4l 4 
| HF | 
0 23124 7136 39:40. 43| 
19 18/29 8135 34145 44| 
| 46| 47| 
16 17/30 31/32 33 
1 121 | 10/53 i 51 48| 
awie | 
14 iis[ | 9is4 T ]ssiso 49 
1 214 ; 6157 | |5661 6 
0 314 H - s9 ; 60 63 
图 1 Hilbert 曲线 
Fig.1 Hilbert curve 
1.4 位 置 本 地 差分 隐私 
存在 n 个 位 置 ， 每 个 位 置 对 应 一 条 记录 。 给 定 一 个 隐私 


算法 NN 及 其 


定义 域 DefN) 和 值 域 Ran(N), 车 任意 两 条 位 置 记 


录 t 和 (t,t"E DefN)) 都 满足 相同 的 输出 结果 tE ERan(N))， 
且 满 足以 下 不 等 式 ， 则 算法 N 满足 e- 本 地 化 差分 隐私 : 


容易 变 成 影响 系统 效率 的 阻碍 。 


LU >， 


本 文 所 采用 
分 构成 ， 如 图 


P(N()-t)seP(N()-r) (4) 
此 可 知 ， 本 地 差分 隐私 通过 控制 算法 IN 输出 相似 的 结 


果 ， 使 攻击 者 无 法 区 分 哪 一 条 数据 为 用 户 的 真实 数据 。 
2 ”位 置 隐私 保护 方案 
2.1 系统 结构 


在 基于 可 信 第 三 方 的 模型 中 , 用 户 发 起 多 次 请 求 时 , TTP 
H, TTP 本 身 容易 受 到 攻 
一 旦 TTP 被 攻破 ， 用 户 的 全 部 隐私 信息 都 会 泄露 。 因 此 
的 方案 不 使 用 TTP, 主要 由 本 地 用 户 和 LSP 两 部 
2 所 示 。 本 地 用 户 通过 无 线 设备 获取 自身 位 


同 的 ， 因 此 攻击 者 可 能 通过 此 类 信息 推断 匿名 用 户 的 真实 位 
等 敏感 属性 。 将 某 个 地 区 划分 为 NXN 个 位 置 区 域 ， 每 个 
区 域 loci 被 访问 的 概率 pi 为 该 区 域 的 查询 次 数 mi 与 整个 地 区 
查询 次 数 M 的 比值 ， 记 为 


m, 
gi". (1) 


> 


Hp, i=l; 2; e 


12 WEH 
在 不 考虑 背景 知识 的 前 提 下 ， 丰 匿名 保护 下 用 户 真实 位 


设 gi 为 loci 是 真实 位 置 的 概率 ， 则 


LOBO 
WORDS Y. 


ME 
" Y», Q) 
其 中 ?=1，2 , k, Hdis(n,2)=VG, XY * Os» o 
ALELA n] LA FH OR BUBS EE: s fr ELSE BI SCR De IEE. AME 


nd, PERIT ERA URP 7 9 
造成 的 安全 隐患 。 
提供 查询 结果 返回 给 本 地 用 户 ， 
果 进 行 处 理 ， 将 


2.2 


避免 使 用 不 可 信 第 三 方 
将 扰动 后 的 位 置 查询 发 送 到 LSP， 由 LSP 
通过 位 置 处 理 算法 对 查询 结 
j 户 所 需 的 数据 展现 给 用 户 。 


获取 位 着 信息 


| 


|，,| 待 查询 区 | 
a 位 置 | “| 名 集 存储 


执行 模块 


发 出 查询 请 求 


& 位 置 服务 查询 


| ,| 应答 结果 
处 理 缓存 


可 查询 结果 


E 


LBS 服 务 器 
返回 用 户 所 需 查询 信息 
图 2 系统 框架 模型 
Fig.2 System framework model 
人 -匿名 位 置 集 生 成 
在 开 匿 名 集 生成 过 程 中 ， 首 先 根据 用 户 历史 查询 记录 获 
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录用 定稿 IR, F: K 匿名 下 通过 本 地 差分 隐私 实现 位 置 隐私 保护 


取 用 户 在 城市 兴趣 点 中 提交 查询 请 求 的 概率 ， 将 兴趣 点 的 概 
率 按 大 小 排序 生成 概率 表 7， 将 了 存 入 本 地 便于 用 户 之 后 的 
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划分 成 4 个 大 小 相同 的 正方 形 子 区 域 。 图 4(a) 为 位 置 点 划分 
后 的 区 域 分 布 ， 保 证 了 位 置 点 的 密度 分 布 。 将 划分 后 的 IHC 


查询 ， 对 了 定期 更 新 防止 其 数据 落后 。 针 对 攻击 者 利用 背景 
知识 进行 攻击 ， 应 当 确 保 匿名 集 的 炉 尽 可 能 的 大 ， 因 此 将 与 
用 户 真实 位 置 Z 查询 概率 最 接近 的 点 添加 到 匿名 候选 区 Le 
中 。 由 文献 [13] 可 知 , Ze 中 的 粒 随 着 位 置 数 的 增加 而 增多 ， 当 
位 置 数 达 到 2k-2 IS BEMTISCK A, HEB SORA. br EUR 
数量 直接 影响 了 计算 开销 ， 为 了 权衡 效率 和 隐私 保护 性 ，; 
Ze 中 的 位 置 数 量 设 为 2 上 22。 为 了 保证 匿名 集中 所 选 位 置 具 
较 好 的 效用 ,在 六 生成 过 程 中 ， 以 用 户 真 实 位 置 为 中 心 ， 根 
据 欧 几 里 德 距离 选择 最 近 的 兴趣 点 。 生 成 去 的 算法 如 下 : 
算法 1 匿名 候选 区 万 生 成 算法 

输入 : T, Z, k 

输出 : Le 

a) 从 T 了 中 获取 Z 的 查询 概率 Zp 

b) 获取 与 Zp 差 值 不 超过 p 的 兴趣 点 ， 存 入 临时 位 置 集 R 中 

c) 根据 ais(z.Z) - JG —xY +O, =y) 计算 RR 中 各 个 位 置 ri 到 Z 的 欧 

几 里 德 距离 Si 

d) 扒 排 序 法 取 Si 最 小 的 前 2k-2 个 兴趣 点 ， 存 入 Lc 

e) 结束 

如 图 3 所 示 ， 通 过 查询 表 了 获取 地 图 中 兴趣 点 概率 后 与 

Z 比较 ， 可 得 兴趣 点 Li, Lo, Ls, La, Ls 与 Z 概率 差 值 不 起 
过 2=0.01， 计 算 选 中 的 兴趣 点 与 Z 的 欧 几 里 德 距离 Sai, >， 


cr 


Ù Š 


3.4.5. Wt k-2, Eb Si I Le- (Lo, Lsto Wim ER R 中 
含有 nn 个 位 置 点 ， 算 法 1 的 空间 复杂 度 为 O(n)。 使 用 堆 排序 
对 RR 中 位 置 点 到 2Z 的 距离 进行 排序 ,时 间 复 杂 度 为 O(nlogn)。 
© © 
Lı 
© 
© LJ Ls 
© 
: © 
Ls 
© 
© 
图 3 候选 区 兴趣 点 生成 


Fig.3 Candidate area interest point generation 

2.3 IHC 划分 兴趣 点 
在 生成 的 居中 随机 取 k-1 个 位 置 与 
匿名 集 工 。 在 生成 工 的 过 程 中 ， 应 当 尽 可 能 的 使 所 取 位 置 点 
分 散 ， 保 证 匿名 区 域 的 范围 ， 将 各 个 兴趣 点 之 间 的 欧 几 里 德 
距离 之 和 作为 衡量 离散 度 的 标准 ， 通 过 多 次 随机 分 配 ， 选 取 
立 置 点 最 分 散 的 匿名 集 。 这 时 攻击 者 从 工 中 得 到 用 户 真 实 位 


JP RKM EHR k- 


存储 到 四 又 树 中 ,存储 方式 如 图 4(b), 兴趣 点 数量 为 k, 文件 
的 存储 开销 为 OW, 计算 各 个 兴趣 点 IHC 值 的 时 间 复 杂 度 为 


O(k). 5j Hilbert 曲线 相 比 ，IHC 划分 可 以 节省 存储 空间 ， 提 
升 计 算 效率 。 
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(a) IHC division 
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(b) IHC division area representation and storage 
图 4 IHC 映射 
Fig.4 IHC mapping 

2.4 基于 本 地 差分 隐私 的 RAPPOR 扰动 

RAPPOR[?*I 能 够 将 终端 用 户 众 包 数 据 进 行 匿名 ， 提 供 了 
高 效 的 隐私 和 效用 , 且 不 依赖 可 信 第 三 方 ,对 于 映射 到 Hilbert 
线 上 的 匿名 候选 位 置 , 通过 RAPPOR 可 实现 随机 扰动 ， 获 
得 强大 的 隐私 保护 。 设 4={4a1，a2，…，an} 为 地 图 划分 后 的 
KE ID, n 为 划分 后 的 区 域 总 数 。 对 于 第 i 个 区 域 ， 如 果 存 
在 选中 的 兴趣 点 , a; 设 置 为 1; 否则 qi 设置 为 0。 RH nA 
HE, BRRR 中 第 j 位 的 值 ， 当 gj 为 1 时，R 对 应 的 位 设 
为 1， 其 他 位 设 为 0， 如 公式 (5) 所 示 。 


Zh ifa; -1 , 
;= . (5) 


otherwise 
接 下 来 是 扰动 从 上 式 中 获取 的 Ro R 中 每 个 位 进行 随机 
响应 扰动 ， 如 公式 (6) 所 示 。 


0.5f x-l 
P(Rj-x)-405f, ^ x-0 (6) 
1- f, x=R; 


置 的 概率 接近 Vk. H FA TER A br ELT 是 与 真 


其 中 ，fe [0，1]) 为 控制 隐私 级 别 的 概率 参数 ， 越 接近 1 的 


实 位 置 的 欧 几 里 德 距离 ， 所 产生 的 匿名 位 置 会 以 真实 位 置 为 
中 心 ， 这 不 利于 真实 位 置 的 保护 。 为 了 进一步 降低 攻击 者 获 
取 真 实 位 置 的 概率 ， 使 用 改进 的 Hilbert 曲线 (IIHC, Improved 
Hilbert curve) 对 位 置 进行 划分 ， 将 划分 后 的 地 图 通过 
RAPPOR 进行 扰动 。 

Hilbert 曲线 能 够 将 地 理 位 置 从 二 维 空间 映射 到 一 维 空间 
上 ， 能 够 保证 在 空间 上 相 邻 的 点 投射 到 一 维 空间 后 也 相 邻 ， 
减少 了 数据 处 理 时 间 , 提高 了 数据 处 理 效率 。 然 而 Hilbert 
线 无 法 反映 兴趣 点 的 密集 度 分 布 ， 通 常 兴趣 点 密集 的 位 置 应 


值 拥有 更 强 的 隐私 保证 。 在 RAPPOR 中 , 产生 的 R' 被 称 为 永 
久 随 机 响应 。 
然后 ,将 另 一 个 扰动 施加 到 R’' 的 每 一 位 ， 得 到 瞬时 随机 
响应 ， 表 示 为 0， 如 公式 (7) 所 示 。 
T En 0 
d p. 让 Ri =0 
生成 的 U 在 RAPPOR 中 称 为 瞬时 随机 响应 ， 其 第 位 
设置 为 1 的 概率 受 参数 gq( 或 p) 和 Ri 影响。 根据 RAPPOR, 
上 述 随机 编码 方法 满足 e- 差 分 隐私 。 


当 使 用 更 细 的 粒度 划分 。IHC 的 构建 如 下 : 将 工 中 距离 Z 最 
远 的 点 作为 边界 R， 使 所 有 位 置 点 包含 在 NXN 的 地 图 空间 
中 。 当 区 域内 的 兴趣 点 数 大 于 阔 值 "=1 时 , 将 该 区 域 递归 的 


初始 被 选中 区 域 经 过 扰动 后 仍 被 选中 的 概率 为 


v -PQ, -IR =)=} f (P+) +0- fa (8) 
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初始 未 被 选中 区 域 扰 动 后 被 选中 的 概率 为 
p'- PU, -1|R 20-5 f(p*q)*0- Dp (9) 
ZEE 
g-kIn| £.& P 7 10 
(c (10) 


ly 


RAPPOR 扰动 后 ， 通 过 IHC ARE 
H R 进行 查询 即 可 保证 用 户 位 置 隐私 。K- 匿 名 外 


VARR, (E 
经 过 扰动 后 ， 


YE 


用 户 真 实 位 置 可 能 在 扰动 中 丢失 ， 当 真实 位 置 不 在 R 中 时 ， 
对 于 LBS 服务 器 返回 的 匿名 集 的 查询 结果 , 获取 与 用 户 真 实 
位 置 欧 几 里 德 距离 最 近 的 个 位 置 点 的 查询 结果 ， 对 所 获取 n : à å d 
的 位 置信 息 取 并 集 ， 作 为 用 户 的 查询 信息 。 位 置 并 集 算法 如 
算法 2 所 示 。 图 6 旧金山 数据 集 
算法 2 位 置 并 集 获取 算法 Fig.6 San francisco dataset 
输入 : R={Lt，t=1, 2, +, r} 3.2 安全 性 分 析 
输出 : 结果 集 了 从 匿名 集 的 烂 和 攻击 算法 识别 概率 方面 进行 安全 性 分 析 ， 
a) 设 7 为 空 并 将 本 文 的 方案 与 其 他 方案 进行 比较 。 其 中 每 组 数据 取 100 
b) 对 于 R 中 所 有 位 置 点 ， 计 算 与 用 户 真实 位 置 的 欧 几 里 德 距离 次 实验 的 平均 值 ,k 的 取 值 范围 为 2~30。 
c) 堆 排 序 取 与 用 户 位 置 距离 最 小 的 前 n 个 位 置 3.2.1 攻击 方法 分 析 
d) 选取 1 个 位 置 ， 将 其 查询 结果 的 兴趣 点 存 入 T 对 于 LBS 服务 , 主要 有 背景 攻击 、 概 率 攻 击 和 语义 攻击 。 
e) 依次 查询 个 位 置 的 查询 结果 ， 与 了 求 并 集 后 存 入 T 对 于 背景 攻击 ， 位 置 隐私 通常 通过 消除 背景 信息 和 用 户 当前 
f) 返回 7 位 置 之 间 的 联系 来 保护 。 
图 5 为 位 置 集 R 中 兴趣 点 的 查询 结果 ,位 置 集 R={L， 概率 攻击 指 攻击 者 通过 己 知 信息 筛选 出 不 合理 的 位 置 点 


S 
1， 太 5，77，7} 为 扰动 后 选取 到 的 五 个 兴趣 点 , n 03, 选 。 ”如 河流 、 沙 漠 等 ， 从 而 提高 发 现 用 户 真 实 位 置 的 概率 。 这 些 
取 欧 几 里 德 距离 最 小 的 前 三 个 位 置 点 为 L?，L4，L;， 其 查 。 ”位置 点 与 用 户 真实 位 置 没有 直接 关联 ， 但 是 通过 过 滤 匿名 
WERN Li-(a, b, e, f, Lle, f. gb Llc dj, WW ”集中 一 些 虚 假 位 置 点 ， 使 匿名 集 不 满足 ERER, KEK 
取 并 集 后 用 户 获得 的 查询 信息 为 T={a; b,c, does fige ” 私 保护 水 平 ， 起 到 了 辅助 攻击 的 效果 。 通 常情 况 下 ， 对 于 概 
设 尽 中 含有 7 个 位 置 点 , 则 推 排序 的 时 间 复 杂 度 为 O(rlogr)， ” 率 攻 击 ， 可 以 在 获取 查询 用 户 的 历史 查询 记录 后 ， 将 查询 概 
设 每 个 位 置 舍 有 m 个 查询 结果 , 后 成 查询 结果 7 的 时 间 复 。” 率 高 的 位 置 作为 虚假 位 置 点 ， 迷 惑 攻 击 者 。 本 文 将 真实 兴趣 
杂 度 为 O(nmlogn), 因 此 算法 2 的 时 间 复 杂 度 为 max(O(rlogr)， ”点 作为 虚假 位 置 ， 选 择 与 用 户 真实 位 置 查询 概率 相同 的 位 置 
O(nmlogn)). 点 构成 候选 区 集合 ， 有 效 避 免 了 概率 攻击 的 发 生 。 
© o 语义 攻击 的 形式 很 多 ， 其 中 位 置 同 质 攻击 是 语义 攻击 中 
一 种 常见 的 攻击 手段 。 位 置 同 质 攻击 是 当 匿 名 位 置 和 用 户 真 
© © 实 位 置 间 的 距离 过 于 接近 时 ， 即 使 达到 了 HEKER, 
® c © 匿名 区 域 太 小 ， 攻 击 者 可 以 通过 位 置 聚 类 等 方法 进一步 缩小 
Z 匿名 区 域 ， 从 而 增 大 获取 用 户 真实 位 置 的 概率 。 本 文 方案 先 
© 择 位 置 分 散 度 最 大 的 位 置 集合 作为 匿名 集 ， 降 低 了 攻击 者 利 

"9 ' © 用 位 置 同 质 攻击 获取 真实 位 置 的 概率 。 
L 90 í 
"u 
© 
L 


DE e) 


n 


@ 3.2.2 4z ÀJ 
g 为 了 更 好 验证 本 文 方案 的 性 能 ， 使 用 文献 [13] [14] 和 最 
优选 择 进 行 对 比 。 由 式 3 可 知 ， 不 变 时 位 置 炳 的 大 小 受 医 
名 集中 兴趣 点 的 查询 概率 影响 ， 查 询 概率 之 间 差 值 越 小 ， 坑 
图 5 位 置 集 查询 结 越 大 ， 当 匿名 集中 所 有 位 置 查询 概率 都 相等 时 ， 所 生成 匿名 
Fig. 5 Location set query results FEMER, AocÉpRUS DUE LNR. 877 

3 ”实验 与 性 能 评估 案 实验 结果 如 图 7 所 示 。 


3.1. 实验 环境 与 方法 £l 

采用 旧金山 数据 集 P3 验 证 所 设计 方案 的 性 能 。 该 数据 集 包 ít 

E 174956 个 兴趣 点 。 如 图 6 is, xy 分 别 表示 经 纬度 转换 

成 的 直角 坐标 。 使 用 Python3.6 编程 实现 , 操作 系统 为 Windows E? e 

10 家 庭 版 ， 计 算 机 CPU 型 号 为 mtel 了 7， 内 存 容量 为 64GB。 £ $ $ 
通过 LBS 服务 器 可 以 获取 用 户 历 史 查询 记录 。 由 文献 Sap g 

[26] 8], 当 无 法 获取 查询 记录 时 , 可 以 通过 地 图 上 的 兴趣 点 

数 代替 用 户 查 询 记 录 。 本 实验 使 用 旧金山 数据 集 的 兴趣 点 作 


最 优选 择 
文献 [14] 
文献 [13] 
本 文 方法 


sya’ 


为 用 户 查 询 记 录 。 将 地 图 分 割 为 100X100 相同 大 小 的 位 置 
单元 ， 计 算 每 个 位 置 单元 历史 查询 概率 作为 先 验 概率 ， 在 每 2 6 0 M ls 2) 26 3 
个 位 置 单 元 中 随机 选择 一 个 兴趣 点 。 兴 趣 点 的 查询 概率 为 相 pim 
立 位 置 单元 的 历史 查询 概率 ， 用 户 所 在 位 置 单元 的 兴趣 点 为 图 7 REE 


其 真实 位 置 点 。 Fig.7 Location entropy 
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由 图 7 可 以 看 到 ， 生 成 匿名 集 的 位 置 粹 随 着 的 增 大 Lor, 
TMK, BDIAL e zc n PER . HP RAEAN NT 
大 , 文献 [13] 和 文献 [14] 在 生成 匿名 集 的 过 程 中 充分 考虑 了 兴 T EXER 
趣 点 的 查询 概率 ， 选 取 与 用 户 位 置 查询 概率 相近 的 兴趣 点 构 E PER idol 
REE, DEBE REEL OE ^ CX PODES, Aae dos eL 
选择 平均 低 0.59981 3%。 因 为 本 文 方法 在 设计 中 考虑 了 攻 d j 
击 者 可 知 的 背景 信息 ， 尽 可 能 的 保证 了 大 匿名 集中 的 位 置 点 $ 
查询 概率 相同 。 本 文 在 算法 1 中 引入 了 差 值 参数 p ， 通 过 减 : s 文献 
小 p 选 取 概 率 最 近 的 兴趣 点 构造 匿名 集 ， 生 成 的 匿名 集 的 炳 ic - Won 
值 与 最 优选 择 法 最 接近 , 仅 比 其 平均 低 0.3%， 因 此 本 文 方法 : 
所 生成 的 匿名 集 具 有 很 高 的 隐私 保护 度 。 2 6 10 14 18 22 26 30 
3.2.3 攻击 算法 识别 用 户 位 置 概率 人 
当 攻 击 者 获取 用 户 所 发 送 匿名 集 RR 后 ,结合 背景 信息 对 图 9 位 置 服务 可 用 性 
用 户 位 置 发 起 攻击 ， 通 过 [14] 中 所 用 攻击 算法 推断 用 户 的 真 Fig.9 Location service availability 
实 位 置 。 攻 击 者 获取 用 户 发 送 位 置 集 后 ， 结 合 边 信息 推断 用 图 10 为 文献 [13][14][17] 和 本 文 方案 的 时 间 开销 。 通 过 
户 位 置 分 布 概率 ， 确 定 用 户 真实 位 置 。 图 8 为 攻击 算法 推断 ”对 比 可 得 知 ， 随 着 大 值 的 增加 ， 算 法 执行 时 间 逐 渐 增多 。 文 
文献 [13]、[14]、[17] 和 本 文 方案 在 不 同 隐私 度 下 匿名 集 位 。” 献 [1 和 构造 匿名 集 的 同时 需要 对 位 置 进行 离散 选择 ， 因 此 其 
分 布 的 概率 。 式 6 中 /的 取 值 决定 初始 扰动 的 程度 , f 取 1 ”运行 时 间 比 其 他 方法 略 长 。 本 文 方法 由 于 添加 了 扰动 ， 导 致 
时 为 完全 随机 响应 ， 取 0 时 为 无 扰动 ， 为 了 保证 隐私 和 效用 ”其 时 间 咯 高 于 文献 [13]。 
的 平衡 ， 取 f 为 0.5。 式 7 中 gq， p 决定 查询 位 集 的 扰动 程 0. 08 > xs] 2 
度 以 及 位 置 集中 的 兴趣 点 数量 ，p+g 值 越 大 ， 查 询 集中 位 置 v- 文献 [14] E 
点 越 多 ，p+g=1 可 保证 扰动 前 后 兴趣 点 数目 基本 不 变 ， 通 过 | ES RU 7 
分 析 查 询 结果 的 效用 ，g，p 分 别 取 0.75，0.25。 通 过 实验 得 NN 
算法 2 rh n BUE 2g 2 时 ， 生 成 的 查询 结果 与 真实 位 置 查询 
结果 基本 相同 ， 且 效率 最 高 ， 因 此 本 文中 取 值 为 /2。 HT 
is »— 文献 [13] É 
v— 文献 [14] T 
e— 文献 [17] | 
一 本 文 方 ; 
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图 8 位 置 识 


别 概率 


Fig.8 Probability of Location Recognition 


由 图 8 可 知 ， 本 文 方案 所 生成 的 匿名 集中 
被 识别 的 概率 要 低 于 其 他 三 种 方案 ， 


用 户 真实 位 置 


相 比 于 文献 [13][14], 本 


方案 添加 了 RAPPOR 扰动 , 使 用 户 真实 位 置 H 
名 集 的 情况 , 增加 了 


b 现 不 存在 于 匿 


匿名 集 的 随机 性 。 文献 [17] 选 取 混淆 位 置 


时 未 考虑 背景 知识 信息 ,通过 背景 知识 可 缩小 
本 方案 匿名 区 域 随 着 磊 值 的 增加 而 


曾 大 ， 降 低 了 攻击 者 通过 


Jer ERI. 


语义 攻击 等 方法 获取 用 户 位 置 的 概率 ， 有 效 提升 了 


保护 效果 。 
3.3 性 能 分 析 


IPAE 


性 降低 ， 


算法 在 保证 用 户 位 置 隐私 安全 性 的 同时 应 当 充分 考虑 其 
性 能 效用 ， 图 9 表示 文献 [13][14][17] 和 本 文 方案 查询 位 置 服 
由 图 9 可 以 看 出 ， 随 着 大 值 增 大 ， 
本 文 方法 生成 匿名 集 的 同时 能 够 更 好 的 保证 查询 结 


服务 可 用 


务 可 用 性 比较 。 
果 


的 可 用 性 


， 这 是 因为 本 文 的 匿名 集中 存在 包含 用 户 真实 位 


和 不 包含 真实 位 置 两 种 情况 。 


当 包 含 真实 位 置 时 ， 位 置 可 


用 性 为 最 优 : 当 不 包含 用 户 真 实 位 置 时 ， 


通过 


[算法 2 获取 用 


户 真实 位 置 附近 的 查询 结果 集 , 可 以 保证 查询 
相同 情况 下 本 文 方法 比 文献 [13][14][17] 分 别 3 
5.92% 和 29.5196. 


结果 的 可 用 性 。 
平均 高 11.95%、 


对 
的 
T 
8j 
到 


利 
23 
交 


Anonymity K 


图 10 ”时间 开 销 
Fig. 10 Time overhead 


结束 语 


对 于 位 置 服务 中 存在 的 用 户 位 置 隐私 保护 的 问题 ， 本 文 
现 有 位 置 隐私 保护 方法 进行 研究 ， 提 出 基于 本 地 差分 隐私 
匿名 保护 方案 ， 对 大 匿 名 集中 的 候选 位 置 进行 扰动 ， 降 低 
用 户 真实 位 置 泄露 的 概率 。 通 过 安全 性 和 可 用 性 分 析 ， 证 
了 本 方案 对 于 用 户 隐 私 和 效用 起 到 了 很 好 的 权衡 ， 性 能 得 
了 明显 提升 。 
本 文 方案 在 使 用 匿名 集 进 行 查询 访问 时 ， 存 在 查询 结果 
用 率 低 的 问题 。 在 接 下 来 的 工作 中 ， 本 文 将 通过 使 用 本 地 
存 的 方式 ,提高 查询 资源 利用 率 ， 降 低 用 户 和 LBS 服务 器 
互 的 次 数 ， 提 升 用 户 位 置 隐私 保护 程度 。 
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